通过 Network Connectivity Center 的 Private Service Connect 连接传播

Private Service Connect 允许使用方从其虚拟私有云 (VPC) 网络内部以私密方式访问托管式服务。同样,它允许代管式服务提供方在其各自的 VPC 网络和项目中托管这些服务,并为其使用方提供专用连接。Private Service Connect 连接在对等 VPC 之间不具有传递性。通过 Network Connectivity Center hub 传播 Private Service Connect 服务后,同一 hub 中的任何其他 spoke VPC 都可以访问这些服务。

Network Connectivity Center Private Service Connect 连接传播功能有助于实现以下用例:

您可以使用一个公共服务 VPC 网络创建多个 Private Service Connect 使用方端点。通过向 Network Connectivity Center hub 添加一个公共服务 VPC 网络,VPC 网络中的所有 Private Service Connect 使用方端点都将能够通过 Network Connectivity Center hub 间接访问其他 VPC spoke。这种连接方式消除了需要单独管理每个 VPC 网络中的每个 Private Service Connect 端点的麻烦。

当您将 VPC spoke 连接到启用了连接传播的 hub 时,Network Connectivity Center 会在该 spoke 中为连接到同一 hub 的所有端点创建传播的连接,除非端点的子网已从导出中排除。将 VPC 网络添加为 VPC spoke 到 Network Connectivity Center hub 后,系统还会传播新的 Private Service Connect 端点,除非将端点的子网从导出操作中排除。

如需设置启用了 Private Service Connect 传播连接的集线器,集线器管理员必须创建集线器并启用 Private Service Connect 传播,或者使用 --export-psc 标志更新传播设置。然后,hub 管理员必须将 VPC 网络添加为 hub 的 spoke。hub 管理员还可以使用 --exclude-export-ranges 标志将特定的 Private Service Connect 分配的子网从 Network Connectivity Center 路由中排除,以便其他 VPC 网络无法访问特定子网,从而使其对本地 VPC 网络保密。

如需了解 Private Service Connect 传播的连接,请参阅 Private Service Connect 传播的连接简介

如需了解 --exclude-export-ranges 标志,请参阅使用导出过滤条件的 VPC 连接

如需详细了解如何为 Private Service Connect 传播的连接设置集线器,请参阅配置集线器

连接传播限制

如需详细了解传播连接数限制,请参阅传播连接数限制

注意事项

在启用 Private Service Connect 传播的连接之前,请考虑以下事项:

  • Private Service Connect 传播的连接仅适用于 VPC spoke。

  • 混合 spoke 的着陆 VPC 不能是 VPC spoke。

  • Private Service Connect 连接传播可能会延迟,事件驱动型通知也可能会异步;也就是说,传送通知可能会在传播连接后过一段时间才发生。

  • 由于 spoke 创建后 --exclude-export-ranges 过滤条件不可变,因此我们建议您创建两个子网来托管 Private Service Connect 端点:一个子网用于仅限 VPC 网络内的 Private Service Connect 端点,另一个子网用于与 hub 共享的 Private Service Connect 端点。将 VPC 网络作为 spoke 添加到 hub 时,请将托管仅限 VPC 网络内的 VPC 网络的子网的 IP 地址范围添加到 --exclude-export-ranges 过滤条件,以便该子网不会与 hub 共享。

  • hub 中所有 spoke 中的 Private Service Connect 端点总数不得超过 1,000 个。不会建立超过此限制的传播。

后续步骤